클라우드보안인증(CSAP) 일정 연기에 …국내 업계 '발동동'
예산 문제로 실증 약 3개월 늦게 시작해정부 "8개월은 실증+전환, 실증은 연내 끝날 예정"
이인애 기자
정부 예산 문제로 클라우드보안인증(CSAP) 상·중 등급 시행이 미뤄졌다. 국내 클라우드 사업자 역차별 논란뿐 아니라, 이로 인해 공공 시스템의 클라우드 도입도 미뤄지며 공공 업무 효율화 속도가 늦어지고 있다는 지적이 나온다.
정부는 최대한 빠르게 실증을 마무리하고 연내에는 CSAP '중'등급을 시행하겠다는 입장이다. '상'등급은 추가 보완 조건이 있어 더 논의해야 한다.
15일 과학기술정보통신부(과기정통부) 한 관계자는 "예산 편성 문제로 CSAP 상·중등급 실증 과제가 4월부터 시작됐다"며 "실증 기간으로 말했던 8개월은 실증과 전환 사업까지 같이 들어간 기간으로, 실증 사업은 연내 마무리할 것"이라고 말했다.
공공 시스템 클라우드 전환까지는 연내 마무리하지 못해도 CSAP 상·중등급 시행은 연내 마무리하겠다는 것이다.
정부는 1월 CSAP 등급제 개편을 발표하며 8개월 간 상·중등급 실증을 진행하겠다고 밝혔다. 당초 계획대로라면 올해 9월에는 실증이 끝나고 상·중등급이 실행되는 것이었다.
하지만 예산 편성 문제로 실증 과제는 올해 4월 28일에야 시작됐다. 8개월 진행하는 계획대로라면 내년 3월은 돼야 CSAP 상·중 등급 시행이 가능할 것이라는 예측에 무게가 실린다.
올해 초 CSAP 등급제 시행을 알린 정부는 서비스형 소프트웨어(SaaS) 간편인증을 받은 사업자에게 '하'등급을 부여한다고 밝혔다.
기존 민간과 공공 서버를 물리적으로 분리해야 한다는 요건을 완화해 '논리적 분리'를 허용하는 등 요건을 완화했다. 그간 공공 시장에 진입하지 못하던 해외 사업자들에게도 기회를 준 것이다.
개인정보 등 주요 정보를 포함하지 않는 공공 시스템에서는 하 등급의 클라우드를 도입할 수 있게 가장 먼저 문호가 개방됐다. 해외 기업인 아마존웹서비스(AWS)와 구글은 바로 CSAP 인증을 준비 중이다.
현재 국내 민간 시장 80% 이상을 점유하고 있는 해외 기업들이 공공 시장까지 진입할 수 있는 기회가 열리자 국내 클라우드서비스사업자(CSP)들의 걱정이 커지고 있다.
국내 사업자들은 이미 데이터센터 안에 공공 전용 클라우드존을 별도로 마련하는 등 물리적 망분리 요건을 만족하는 준비를 마친 상태다. 그럼에도 실증 사업이 연기되면서 공공 사업 진입 기회가 늘지 않는 상황이다.
정부는 '하'등급에 해당하는 SaaS 간편인증을 받은 사업자 외에 SaaS 표준인증과 서비스형 인프라(IaaS) 인증, 서비스형 데스크톱(DaaS) 인증을 받았던 사업자에는 '중' 등급을 부여할 것이기 때문에 기존과 달라지는 점이 없다는 입장이다.
'상' 등급은 이번 실증 이후에 추가 요건 보완이 필요한 상황이라 '중' 등급보다 시행이 늦어질 예정이다.
반면 사업자들은 이에 대한 정확한 안내도 없고, 시행이 늦어지는 만큼 상·중등급 공공 시스템은 클라우드 전환이 늦춰지기 때문에 국내 사업자들의 사업 기회도 멀어지고 있다는 입장이다.
국내 한 클라우드 업계 관계자는 "국내 업체들은 이미 기존에 공공 시스템에 맞춰 투자를 해 준비를 마쳤기 때문에 굳이 유예하지 말고 하 등급 외에도 모든 등급을 다같이 열어달라는 생각이다"며 "글로벌 사업자들은 하 등급을 받아 공공사업을 하면서 준비를 더 해 상·중 등급을 준비할 수도 있는 것이고, 국내 사업자들에게 기회가 더 사라진 느낌이다"고 말했다.
이인애 MTN 머니투데이방송 기자
정부는 최대한 빠르게 실증을 마무리하고 연내에는 CSAP '중'등급을 시행하겠다는 입장이다. '상'등급은 추가 보완 조건이 있어 더 논의해야 한다.
 |
| 클라우드 영역 분류 개념도 / 제공=국정원 국가 클라우드 컴퓨팅 보안 가이드라인 |
15일 과학기술정보통신부(과기정통부) 한 관계자는 "예산 편성 문제로 CSAP 상·중등급 실증 과제가 4월부터 시작됐다"며 "실증 기간으로 말했던 8개월은 실증과 전환 사업까지 같이 들어간 기간으로, 실증 사업은 연내 마무리할 것"이라고 말했다.
공공 시스템 클라우드 전환까지는 연내 마무리하지 못해도 CSAP 상·중등급 시행은 연내 마무리하겠다는 것이다.
정부는 1월 CSAP 등급제 개편을 발표하며 8개월 간 상·중등급 실증을 진행하겠다고 밝혔다. 당초 계획대로라면 올해 9월에는 실증이 끝나고 상·중등급이 실행되는 것이었다.
하지만 예산 편성 문제로 실증 과제는 올해 4월 28일에야 시작됐다. 8개월 진행하는 계획대로라면 내년 3월은 돼야 CSAP 상·중 등급 시행이 가능할 것이라는 예측에 무게가 실린다.
올해 초 CSAP 등급제 시행을 알린 정부는 서비스형 소프트웨어(SaaS) 간편인증을 받은 사업자에게 '하'등급을 부여한다고 밝혔다.
기존 민간과 공공 서버를 물리적으로 분리해야 한다는 요건을 완화해 '논리적 분리'를 허용하는 등 요건을 완화했다. 그간 공공 시장에 진입하지 못하던 해외 사업자들에게도 기회를 준 것이다.
개인정보 등 주요 정보를 포함하지 않는 공공 시스템에서는 하 등급의 클라우드를 도입할 수 있게 가장 먼저 문호가 개방됐다. 해외 기업인 아마존웹서비스(AWS)와 구글은 바로 CSAP 인증을 준비 중이다.
현재 국내 민간 시장 80% 이상을 점유하고 있는 해외 기업들이 공공 시장까지 진입할 수 있는 기회가 열리자 국내 클라우드서비스사업자(CSP)들의 걱정이 커지고 있다.
국내 사업자들은 이미 데이터센터 안에 공공 전용 클라우드존을 별도로 마련하는 등 물리적 망분리 요건을 만족하는 준비를 마친 상태다. 그럼에도 실증 사업이 연기되면서 공공 사업 진입 기회가 늘지 않는 상황이다.
정부는 '하'등급에 해당하는 SaaS 간편인증을 받은 사업자 외에 SaaS 표준인증과 서비스형 인프라(IaaS) 인증, 서비스형 데스크톱(DaaS) 인증을 받았던 사업자에는 '중' 등급을 부여할 것이기 때문에 기존과 달라지는 점이 없다는 입장이다.
'상' 등급은 이번 실증 이후에 추가 요건 보완이 필요한 상황이라 '중' 등급보다 시행이 늦어질 예정이다.
반면 사업자들은 이에 대한 정확한 안내도 없고, 시행이 늦어지는 만큼 상·중등급 공공 시스템은 클라우드 전환이 늦춰지기 때문에 국내 사업자들의 사업 기회도 멀어지고 있다는 입장이다.
국내 한 클라우드 업계 관계자는 "국내 업체들은 이미 기존에 공공 시스템에 맞춰 투자를 해 준비를 마쳤기 때문에 굳이 유예하지 말고 하 등급 외에도 모든 등급을 다같이 열어달라는 생각이다"며 "글로벌 사업자들은 하 등급을 받아 공공사업을 하면서 준비를 더 해 상·중 등급을 준비할 수도 있는 것이고, 국내 사업자들에게 기회가 더 사라진 느낌이다"고 말했다.
이인애 MTN 머니투데이방송 기자
